來店禮、停車折抵 「過卡」成資安漏洞
https://news.ltn.com.tw/news/weeklybiz/paper/1266584
記者李靚慧/專題報導
網購等盜刷通報節節走高,這些卡片資料哪裡來?信用卡專家警告,國人使用頻繁的「信
用卡停車折抵」、百貨業者的「來店禮」、「滿額禮」,這些必須「過磁條」的「非交易
性刷卡」,已成為不法集團竊取卡號等資訊的最主要管道。
根據發卡銀行、信用卡國際組織的觀察,台灣網路盜刷通報不但逐年走高,且遭盜刷的狀
況與國外相較,的確有偏高的現象。
如果持卡人的卡片未遺失,信用卡資料是如何外洩的?萬事達卡分析,主要是來自於國內
的「非交易性刷卡使用行為」,例如停車折抵、百貨來店禮兌換。
以信用卡停車折抵為例,持卡人使用時,必須在繳費機上刷信用卡磁條,該刷卡機連線至
發卡行主機,以判別該持卡人是否有足夠的紅利點數可扣,或是否符合免費停車資格。
但萬事達卡指出,目前多數停車場採用的機器為舊式刷卡機,大都不符合支付卡行業資料
安全標準(PCI DSS, Payment Card Industry Data Security Standard),當卡號儲存
在刷卡機,卻又疏於資料安全管理,若有心人士拿來做非法使用,就會造成嚴重的網路盜
刷情況。
至於各百貨通路雖均裝設新型晶片刷卡機,但通常將舊式磁條刷卡機用於兌換來店禮等用
途,因此產生許多不必要的管理漏洞,甚至導致盜刷。
國內最大發卡銀行中國信託觀察,台灣的持卡人有「風險意識不足」的特性,對來路不明
的郵件、簡訊或社交軟體訊息,均欠缺風險意識隨意點擊;且為了方便使用,經常直接在
電子設備或瀏覽器上儲存卡號或個人資料,一旦設備被植入木馬程式,手機或電腦中的卡
號等個資、銀行發送的簡訊都有可能被竊取,進而遭到盜刷。
銀行業者指出,若持卡人能證明該筆信用卡交易非本人而是遭盜刷,發卡行就得承擔此一
損失;但目前多數的網路商店仍未採行3D網路認證機制,只能靠銀行自救。
聯邦銀行指出,信用卡風控部門就是降低銀行損失的重要角色,除了要緊盯持卡人的刷卡
行為,並提早發現哪些店有異常刷卡現象,才能讓盜刷情形擴大前提早阻絕。
萬事達卡提醒,手機網路購物盛行,網路業者多提供卡號綁定的服務,但台灣多數電子商
務業者,並不符合PCI安全標準,信用卡組織除了積極拓展代碼化技術(Tokenization)
應用於網路購物,讓購物平台無法儲存持卡人真實卡號,也積極推動身分驗證「
SecureCode」,確認交易者為持卡人本人,以提升交易安全。